Acceso condicional: aplicaciones, acciones y contexto de autenticación en la nube

Las aplicaciones, acciones y el contexto de autenticación en la nube son señales clave en una directiva de acceso condicional. Las directivas de acceso condicional permiten que los administradores asignen controles a determinadas aplicaciones, acciones o contextos de autenticación.

  • Los administradores pueden elegir en la lista de aplicaciones entre aplicaciones integradas de Microsoft y cualquier aplicación integrada de Azure AD, incluidas aplicaciones de la galería, aplicaciones que no son de la galería y aplicaciones publicadas a través de Application Proxy.
  • Los administradores pueden optar por definir una directiva no basada en una aplicación en la nube, sino en una acción del usuario como Registrar la información de seguridad o Registrar o unir dispositivos, lo que permite que el acceso condicional aplique controles en torno a esas acciones.
  • Los administradores pueden usar el contexto de autenticación para proporcionar una capa adicional de seguridad en las aplicaciones.

Definición de una directiva de acceso condicional y especificación de aplicaciones en la nube

Aplicaciones de nube de Microsoft

En la lista de aplicaciones que se pueden seleccionar están muchas de las aplicaciones en la nube de Microsoft existentes.

Los administradores pueden asignar una directiva de acceso condicional a las siguientes aplicaciones en la nube de Microsoft. Algunas aplicaciones, como Office 365 y la Administración de Microsoft Azure, incluyen varios servicios o aplicaciones secundarios relacionados. Agregamos continuamente más aplicaciones, por lo que la lista siguiente no es exhaustiva y está sujeta a cambios.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database y Azure Synapse Analytics
  • Common Data Service
  • Analytics de Microsoft Application Insights
  • Microsoft Azure Information Protection
  • Administración de Microsoft Azure
  • Administración de suscripciones de Microsoft Azure
  • Microsoft Cloud App Security
  • Portal de Control de acceso de las herramientas de Microsoft Commerce
  • Servicio de autenticación de las herramientas de Microsoft Commerce
  • Microsoft Forms
  • Microsoft Intune
  • Inscripción en Microsoft Intune
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft Search en Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Equipos de Microsoft
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook Groups
  • Servicio Power BI
  • Project Online
  • Skype Empresarial Online
  • Red privada virtual (VPN)
  • ATP de Windows Defender

Importante

Las aplicaciones que están disponibles para el acceso condicional han pasado por un proceso de incorporación y validación. Esta lista no incluye todas las aplicaciones de Microsoft, ya que muchas son servicios de back-end y no están diseñadas para que se les aplique la directiva directamente. Si está buscando una aplicación que falta, puede ponerse en contacto con el equipo de la aplicación específica o hacer una solicitud en UserVoice.

Office 365

Microsoft 365 proporciona servicios de colaboración y productividad basados en la nube, como Exchange, SharePoint y Microsoft Teams. Los servicios en la nube de Microsoft 365 están profundamente integrados para garantizar experiencias de colaboración fluidas. Esta integración puede producir confusión a la hora de crear directivas, ya que algunas aplicaciones, como Microsoft Teams, dependen de otras, como SharePoint o Exchange.

El conjunto de Office 365 hace posible dirigirse a todos estos servicios a la vez. Se recomienda usar al nuevo conjunto de Office 365 en lugar de las aplicaciones en la nube individuales para evitar problemas con las dependencias de servicio.

Dirigirse a este grupo de aplicaciones ayuda a evitar problemas que pueden surgir debido a directivas y dependencias incoherentes. Por ejemplo: la aplicación Exchange Online está asociada a datos de Exchange Online tradicionales, como el correo electrónico, el calendario y la información de contacto. Los metadatos relacionados se pueden exponer mediante distintos recursos, como la búsqueda. Para asegurarse de que todos los metadatos están protegidos según lo previsto, los administradores deben asignar directivas a la aplicación Office 365.

Los administradores pueden excluir aplicaciones específicas de la directiva si lo desean, incluyendo el conjunto Office 365 y excluyendo las aplicaciones específicas de la directiva.

Las siguientes aplicaciones principales se incluyen en la aplicación cliente Office 365:

  • Microsoft Forms
  • Microsoft Stream
  • Microsoft To-Do
  • Equipos de Microsoft
  • Exchange Online
  • SharePoint Online
  • Servicio de búsqueda de Microsoft 365
  • Yammer
  • Office Delve
  • Office en línea
  • Office.com
  • OneDrive
  • Power Automate
  • Power Apps
  • Skype Empresarial Online
  • Sway

Microsoft Azure Management (Administración de Microsoft Azure)

La aplicación de administración de Microsoft Azure incluye varios servicios.

  • Azure portal
  • Proveedor de Azure Resource Manager
  • API del modelo de implementación clásica
  • Azure PowerShell
  • Azure CLI
  • Portal de administrador de suscripciones de Visual Studio
  • Azure DevOps
  • Portal de Azure Data Factory

Nota

La aplicación de administración de Microsoft Azure se aplica a Azure PowerShell, que llama a la API de Azure Resource Manager. No se aplica a Azure AD PowerShell, que llama a Microsoft Graph.

Otras aplicaciones

Los administradores pueden agregar cualquier aplicación registrada de Azure AD a las directivas de acceso condicional. Estas aplicaciones pueden incluir:

Nota

Puesto que la directiva de acceso condicional establece los requisitos para obtener acceso a un servicio, no puede aplicarla a una aplicación cliente (pública o nativa). Es decir, la directiva no está establecida directamente en una aplicación cliente (pública o nativa), pero se aplica cuando un cliente llama a un servicio. Por ejemplo, una directiva establecida en el servicio SharePoint se aplica a los clientes que llamen a SharePoint. Así mismo, una directiva establecida en Exchange se aplica al intento de acceder al correo electrónico mediante el cliente de Outlook. Este es el motivo por el que las aplicaciones cliente (públicas o nativas) no están disponibles para su selección en el selector Aplicaciones en la nube y la opción Acceso condicional no está disponible en la configuración de la aplicación para la aplicación cliente (pública o nativa) registrada en el inquilino.

Acciones del usuario

Las acciones del usuario son tareas que un usuario puede realizar. Actualmente, el Acceso condicional admite dos acciones del usuario:

  • Registro de la información de seguridad: esta acción del usuario permite que la directiva de Acceso condicional se aplique cuando los usuarios que están habilitados para el registro combinado intentan registrar su información de seguridad. Para más información, consulte el artículo Registro de información de seguridad combinado.

  • Registrar o unir dispositivos: esta acción del usuario permite a los administradores aplicar la directiva de acceso condicional cuando los usuarios registran o unen dispositivos a Azure AD. Proporciona granularidad en la configuración de la autenticación multifactor para registrar o unir dispositivos en lugar de la directiva para todo el inquilino que existe actualmente. Existen tres consideraciones principales con esta acción de usuario:

    • Require multi-factor authentication es el único control de acceso disponible con esta acción del usuario y todos los demás están deshabilitados. Esta restricción evita conflictos con controles de acceso que dependen del registro de dispositivos de Azure AD o que no se pueden aplicar al registro de dispositivos de Azure AD.
    • Las condiciones Client apps, Filters for devices y Device state no están disponibles con esta acción de usuario, ya que dependen del registro de dispositivos de Azure AD para aplicar las directivas de acceso condicional.
    • Cuando se habilita una directiva de Acceso condicional con esta acción del usuario, debe establecer Azure Active Directory > Dispositivos > Configuración del dispositivo - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication en No. De lo contrario, no se aplica correctamente la directiva de acceso condicional con esta acción de usuario. Puede encontrar más información sobre esta configuración de dispositivo en Configuración de las opciones de dispositivo.

Contexto de autenticación (versión preliminar)

El contexto de autenticación se puede usar para proteger aún más los datos y acciones de las aplicaciones. Estas aplicaciones pueden ser sus propias aplicaciones personalizadas, aplicaciones de línea de negocio (LOB) personalizadas, aplicaciones como SharePoint o aplicaciones protegidas por Microsoft Cloud App Security (MCAS).

Por ejemplo, una organización puede conservar archivos en sitios de SharePoint como, por ejemplo, el menú de comidas o la receta secreta de su salsa barbacoa. Todos los usuarios pueden acceder al sitio del menú de comidas, pero es posible que para acceder al sitio de la receta secreta de la salsa barbacoa tengan que utilizar un dispositivo administrado y aceptar condiciones de uso específicas.

Configuración de contextos de autenticación

Los contextos de autenticación se administran en Azure Portal en Azure Active Directory > Seguridad > Acceso condicional > Contexto de autenticación.

Administración del contexto de autenticación en Azure Portal

Advertencia

  • No es posible eliminar las definiciones de contextos de autenticación durante la versión preliminar.
  • La versión preliminar se limita a un total de 25 definiciones de contextos de autenticación en Azure Portal.

Para crear nuevas definiciones de contextos de autenticación, seleccione Nuevo contexto de autenticación en Azure Portal. Configure los siguientes atributos:

  • Nombre para mostrar es el nombre que se usa para identificar el contexto de autenticación en Azure AD y entre aplicaciones que usan contextos de autenticación. Se recomiendan nombres que se puedan usar en varios recursos, como "dispositivos de confianza", para reducir el número de contextos de autenticación necesarios. Tener un conjunto reducido limita el número de redireccionamientos y proporciona una mejor experiencia para el usuario final.
  • Descripción proporciona más información sobre las directivas que usan los administradores de Azure AD y las que aplican contextos de autenticación a los recursos.
  • Cuando está activada la casilla Publicar en aplicaciones, anuncia el contexto de autenticación a las aplicaciones y hace que estén disponibles para asignarlas. Si no está activada, el contexto de autenticación no estará disponible para los recursos de nivel inferior.
  • Identificador es de solo lectura y se usa en tokens y aplicaciones para definiciones de contexto de autenticación de solicitudes específicas. Se muestra aquí para casos de uso de solución de problemas y desarrollo.

Adición a la directiva de acceso condicional

Los administradores pueden seleccionar contextos de autenticación publicados en sus directivas de acceso condicional en Asignaciones > Aplicaciones en la nube o acciones y seleccionando Contexto de autenticación desde el menú Seleccionar a qué se aplica esta directiva.

Adición de un contexto de autenticación de acceso condicional a una directiva

Etiquetado de recursos con contextos de autenticación

Para más información sobre el uso del contexto de autenticación en las aplicaciones, consulte los artículos siguientes.

Pasos siguientes